安全 : Cisco NAC Appliance (Clean Access)

NAC(CCA) :配置在Clean Access管理器的验证有ACS的5.x和以后

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文提供信息如何配置在Clean Access管理器(CAM)的验证用思科安全访问控制系统(ACS) 5.x和以后。对于一相似的配置使用版本早于ACS 5.x,参考NAC(CCA) :配置在Clean Access管理器(CAM)的验证有ACS的

先决条件

要求

此配置是可适用的对CAM版本3.5和以上。

使用的组件

本文档中的信息根据CAM版本4.1。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-01.gif

配置在CCA的验证与ACS 5.x

完成这些步骤:

  1. 添加新的角色
    1. 创建Admin角色

      • 从CAM,请选择用户管理>用户角色>New角色

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-02.gif

      • 输入唯一的名称, admin,在角色的作用的Name字段。

      • 输入管理员用户角色作为一个可选角色说明。

      • 选择正常洛金角色作为角色类型。

      • 配置带外(OOB)用户角色与适当的VLAN的VLAN。例如,请选择VLAN ID并且指定ID作为10。

      • 当完成,请单击创建角色。为了恢复在表的默认属性,请点击“Reset”

      • 角色在角色列表当前出现选项卡如OOB基于任务的映射部分的标记VLAN所显示

    2. 创建用户角色

      • 从CAM,请选择用户管理>用户角色>New角色

        http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-03.gif

      • 输入唯一的名称,用户,在角色的作用的Name字段。

      • 输入普通用户角色作为一个可选角色说明。

      • 配置带外(OOB)用户角色与适当的VLAN的VLAN。例如,请选择VLAN ID并且指定ID作为20。

      • 当完成,请单击创建角色。为了恢复在表的默认属性,请点击“Reset”

      • 角色在角色列表当前出现选项卡如OOB基于任务的映射部分的标记VLAN所显示

  2. OOB基于任务的映射的标记VLAN

    到目前为止从CAM,请选择用户管理>角色用户角色>列表为了看到角色列表。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-04.gif

  3. 添加RADIUS认证服务器(ACS)

    1. 选择用户管理>认证服务器>New

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-05.gif

    2. 从认证类型下拉菜单,请选择Radius

    3. 输入运营商名称作为ACS

    4. 输入服务器名作为auth.cisco.com

    5. 服务器端口—端口号RADIUS服务器侦听的1812

    6. Radius类型— RADIUS验证方法。支持的方法包括EAPMD5、PAP、CHAP、MSCHAP和MSCHAP2。

    7. 使用默认角色,如果映射对ACS没有正确地定义也没有设置,或者,如果RADIUS属性在ACS没有正确地定义也没有设置。

    8. 共享塞克雷— RADIUS共享秘密区域对指定的客户端IP地址。

    9. nas-ip-address —用所有RADIUS验证数据包将传送的此值。

    10. 单击添加服务器

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-06.gif

  4. 地图CCA用户角色的ACS用户

    1. 选择用户管理>认证服务器>映射映射林克的规则>Add为了映射ACS的管理员用户到CCA管理员用户角色。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-07.gif

    2. 选择用户管理>认证服务器>映射映射林克的规则>Add为了映射在ACS的普通用户到CCA用户角色。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-08.gif

      这是用户角色映射摘要:

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-09.gif

  5. 在用户页的Enable (event)备选供应商

    选择Administration >用户页>登录页>Add >内容为了启用在用户登录页的备选供应商。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-10.gif

ACS5.x配置

  1. 选择网络资源>网络设备和AAA客户端,然后单击创建为了添加CAM作为AAA客户端

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-11.gif

  2. 提供名称, IP地址并且选择RADIUS在认证选项下。然后,为CAM请提供共享塞克雷并且单击提交

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-12.gif

  3. 选择网络资源>网络设备和AAA客户端,然后单击创建为了添加CAS作为AAA客户端

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-13.gif

  4. 提供名称, IP地址并且选择RADIUS在认证选项下。然后,为CAS请提供共享塞克雷并且单击提交

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-14.gif

  5. 选择网络资源>网络设备和AAA客户端并且单击创建为了添加ASA作为AAA客户端

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-15.gif

  6. 提供名称, IP地址并且选择RADIUS在认证选项下。然后,为ASA请提供共享塞克雷并且单击提交

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-16.gif

  7. 选择用户,并且标识存储>标识组并且单击创建为了创建一新的标识组。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-17.gif

  8. 提供组名并且单击提交

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-18.gif

  9. 选择用户,并且标识存储>标识组并且单击创建为了创建一新的标识组。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-19.gif

  10. 提供组名并且单击提交

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-20.gif

  11. 选择用户,并且标识存储>内部标识存储> Users并且单击创建为了创建新用户。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-21.gif

  12. 提供用户的名称并且更改组成员对Admin group。然后,请提供密码并且证实密码。单击 submit

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-22.gif

  13. 选择用户,并且标识存储>内部标识存储> Users并且单击创建为了创建新用户。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-23.gif

  14. 提供用户的名称并且更改组成员对用户组。然后,请提供密码并且证实密码。单击 submit

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-24.gif

  15. 选择策略元素>授权和权限>网络访问>授权配置文件并且单击创建为了创建一新的授权配置文件

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-25.gif

  16. 提供配置文件名称并且点击RADIUS属性

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-26.gif

  17. RADIUS属性请选中,选择RADIUS-IETF作为词典类型。然后,请在RADIUS属性旁边单击精选

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-27.gif

  18. 选择类别属性并且点击OK键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-28.gif

  19. 保证属性值静态和回车Admin作为值。单击添加,然后单击提交

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-29.gif

  20. 选择策略元素>授权和权限>网络访问>授权配置文件并且单击创建为了创建一新的授权配置文件

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-30.gif

  21. 提供配置文件名称并且点击RADIUS属性

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-31.gif

  22. RADIUS属性请选中,选择RADIUS-IETF作为词典类型。然后,请在RADIUS属性旁边单击精选

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-32.gif

  23. 选择类别属性并且点击OK键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-33.gif

  24. 保证属性值静态和回车用户作为值。单击添加,然后单击提交

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-34.gif

  25. 选择访问策略>Access Services>服务处理RADIUS请求的服务选择规则并且识别。在本例中,服务是默认网络网络访问

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-35.gif

  26. 选择访问策略>Access Services>默认网络网络访问(服务在处理RADIUS请求)的上一步识别>授权。点击自定义

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-36.gif

  27. 移动从联机的标识组选定列。单击 Ok

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-37.gif

  28. 单击创建为了创建新规则。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-38.gif

  29. 保证标识Group复选框被检查,然后在标识组旁边单击精选

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-39.gif

  30. 选择Admin group并且点击OK键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-40.gif

  31. 点击精选授权配置文件部分。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-41.gif

  32. 选择Admin授权配置文件并且点击OK键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-42.gif

  33. 单击创建为了创建新规则。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-43.gif

  34. 保证标识Group复选框被检查并且在标识组旁边单击精选

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-44.gif

  35. 选择用户组并且点击OK键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-45.gif

  36. 点击精选授权配置文件部分。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-46.gif

  37. 选择用户授权配置文件并且点击OK键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-47.gif

  38. 单击 Ok

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-48.gif

  39. 点击Save Changes

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/113560-nac-cam-acs5-config-49.gif

故障排除

目前没有针对此配置的故障排除信息。


相关信息


Document ID: 113560